【慢雾安全:Quiuixotic 出现严重漏洞,请相关用户尽快取消授权】

【慢雾安全:Quiuixotic 出现严重漏洞,请相关用户尽快取消授权】 据慢雾安全团队情报,2022年7月1日,Optimism生态最大NFT平台Quiuixotic出现严重漏洞,大量用户资产被盗,请在该市场上进行过交易的用户尽快取消授权。 在市场合约的fillSell Order函数中仅对卖单进行了检查,并未对buyer的买单做检查。故攻击者首先创建了任意的NFT合约,调用fillSellOrder函数生成卖单,将buyer参数传为受害者地址、payment ERC20参数传为需要盗取的代币地址,即可将对该市场合约有授权的用户的代币转走获利。

相关推荐

封面图片

【慢雾首席信息安全官:近期出现假冒UniSat的钓鱼网站,用户请谨慎辨别】

【慢雾首席信息安全官:近期出现假冒UniSat的钓鱼网站,用户请谨慎辨别】 5月13日消息,慢雾首席信息安全官 @IM_23pds 在社交媒体上发文表示,近期有假冒比特币铭文钱包及交易市场平台 UniSat 的钓鱼网站出现,经慢雾分析,假网站有明显的传统针对 ETH、NFT 钓鱼团伙的作案特征,或因近期 BRC-20 领域火热故转而制作有关该领域的钓鱼网站,请用户注意风险,谨慎辨别。
封面图片

【慢雾:Moonbirds的Nesting Contract相关漏洞在特定场景下才能产生危害】

【慢雾:Moonbirds的Nesting Contract相关漏洞在特定场景下才能产生危害】 据慢雾区情报反馈,Moonbirds 发布安全公告,Nesting Contract 存在安全问题。当用户在 OpenSea 或者 LooksRare等NFT交易市场进行挂单售卖时。卖家不能仅通过执行 nesting(筑巢) 来禁止NFT售卖,而是要在交易市场中下架相关的 NFT 售卖订单。否则在某个特定场景下买家将会绕过 Moonbirds 在nesting(筑巢)时不能交易的限制。慢雾安全团队经过研究发现该漏洞需要在特定场景才能产生危害属于低风险。建议 Moonbirds 用户自行排查已 nesting(筑巢)的 NFT 是否还在 NTF 市场中上架,如果已上架要及时进行下架。更多的漏洞细节请等待 Moonbirds 官方的披露。
封面图片

【慢雾:Rabby Swap 存在外部调用风险, 黑客已获利超 19 万美元】

【慢雾:Rabby Swap 存在外部调用风险, 黑客已获利超 19 万美元】 Foresight News 消息,据慢雾安全团队情报, 2022 年 10 月 11 号,以太坊链上的 Rabby 钱包项目的 Swap 合约被攻击, 其合约中代币兑换函数直接通过 OpenZeppelin Address library 中的 functionCallWithValue 函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。截止目前,Rabby Swap 事件黑客已经获利超 19 万美元,资金暂时未进一步转移。黑客地址的手续费来源是 Tornado Cash 10 BNB,使用工具有 Multichain、ParaSwap、PancakeSwap、Uniswap V3、Trader Joe。慢雾 MistTrack 将持续监控黑客地址并分析相关痕迹。 https://foresightnews.pro/news/detail/11245
封面图片

【慢雾安全预警:Nacos出现远程代码执行漏洞攻击案例,请相关方及时升级】

【慢雾安全预警:Nacos出现远程代码执行漏洞攻击案例,请相关方及时升级】 据慢雾区消息,Nacos 出现远程代码执行漏洞攻击案例。Nacos 是 Alibaba 开源的一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台,帮助用户快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 在处理某些基于 Jraft 的请求时,采用 Hessian 进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。其中,1.4.1 <= Nacos < 1.4.6,使用 cluster 集群模式运行受影响;1.4.0、2.0.0 <= Nacos < 2.2.3,任意模式启动均受到影响。加密货币行业有大量平台采用此方案,请注意风险,并将 Nacos 升级到官方最新新版本。
封面图片

【慢雾安全预警:Nuxt.js出现远程代码执行漏洞攻击案例,请相关方及时升级】

【慢雾安全预警:Nuxt.js出现远程代码执行漏洞攻击案例,请相关方及时升级】 据慢雾区消息,Nuxt.js远程代码执行漏洞(CVE-2023-3224) PoC在互联网上公开,目前已出现攻击案例。Nuxt.js是一个基于Vue.js的轻量级应用框架,可用来创建服务端渲染(SSR) 应用,也可充当静态站点引擎生成静态站点应用,具有优雅的代码结构分层和热加载等特性。Nuxt中存在代码注入漏洞,当服务端以开发模式启动时,远程未授权攻击者可利用此漏洞注入恶意代码并获取目标服务器权限。其中,Nuxt == 3.4.0,Nuxt == 3.4.1,Nuxt == 3.4.2 均受到影响。加密货币行业有大量平台采用此方案构建前后端服务,请注意风险,并将Nuxt升级到3.4.3或以上版本。 快讯/广告 联系 @xingkong888885
封面图片

【派盾:OpenSea漏洞事件疑为网络钓鱼,用户授权钓鱼邮件中的迁移导致NFT失窃】

【派盾:OpenSea漏洞事件疑为网络钓鱼,用户授权钓鱼邮件中的迁移导致NFT失窃】 2月20日消息,据派盾官方消息,派盾称「OpenSea 漏洞事件」很可能是网络钓鱼,用户按照网络钓鱼邮件中的指示授权「迁移」,而这种授权将允许黑客窃取有价值的 NFT。 以太坊智能合约编程语言 Solidity 的开发者 foobar 表示,黑客使用 30 天前部署的一个助手合约,调用 4 年前部署的一个操作系统合约,使用有效的 atomicMatch() 数据。这可能是几个星期前的典型网络钓鱼攻击。而不是智能合约漏洞,代码是安全的。 此前报道,2 月 19 日,OpenSea 官方在社交媒体上发文表示,其智能合约升级已完成,新的智能合约已经上线,用户迁移智能合约需签署挂单迁移请求,签署此请求不需要 Gas 费,无需重新进行 NFT 审批或初始化钱包,此迁移期将持续 7 天。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人